KR102094923B1 - Cloud service system to which service mesh - Google Patents

Cloud service system to which service mesh Download PDF

Info

Publication number
KR102094923B1
KR102094923B1 KR1020180136897A KR20180136897A KR102094923B1 KR 102094923 B1 KR102094923 B1 KR 102094923B1 KR 1020180136897 A KR1020180136897 A KR 1020180136897A KR 20180136897 A KR20180136897 A KR 20180136897A KR 102094923 B1 KR102094923 B1 KR 102094923B1
Authority
KR
South Korea
Prior art keywords
traffic
service
node
transmitting
proxy
Prior art date
Application number
KR1020180136897A
Other languages
Korean (ko)
Inventor
강문중
김종원
신준식
Original Assignee
광주과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광주과학기술원 filed Critical 광주과학기술원
Priority to KR1020180136897A priority Critical patent/KR102094923B1/en
Application granted granted Critical
Publication of KR102094923B1 publication Critical patent/KR102094923B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation

Abstract

According to the present invention, a cloud service system to which a service mesh is applied comprises: a control tower which is a logical entity for managing the entire infrastructure; a number of functions connected to a network; and a proxy which monitors state information of traffic passing through the function, transmits the state information to the control tower, and processes the traffic according to a command transmitted from the control tower. The service mesh is a network adaptive service mesh operating based on network recognition.

Description

서비스 메쉬가 적용되는 클라우드 서비스 시스템{CLOUD SERVICE SYSTEM TO WHICH SERVICE MESH}Cloud service system to which service mesh is applied {CLOUD SERVICE SYSTEM TO WHICH SERVICE MESH}

본 발명은, 네트워크 레벨, 네트워크 평면, 네트워크 슬라이스 및 네트워크 트래픽에 대한 인지를 기반으로 동작하는 네트워크 적응적 서비스 메쉬가 적용되는 클라우드 서비스 시스템에 관한 것이다.The present invention relates to a cloud service system to which a network adaptive service mesh operating based on network level, network plane, network slice, and perception of network traffic is applied.

클라우드 서비스는 사용자의 IT비용을 절감하고, 자원 운영의 민첩성과 효율성을 제고할 수 있는 장점이 있으며, 이와 같은 장점에 바탕하여 다양한 클라우드 서비스가 운용되고 있다.The cloud service has the advantage of reducing the IT cost of the user and improving the agility and efficiency of resource operation, and various cloud services are being operated based on this advantage.

한편, 응용(application)간 네트워크를 통한 상호연계가 중요해지고 있지만 네트워크 인프라는 대역폭이 제한적이고 연결 안정성을 보장하지 않는다. 따라서 이러한 상황에서의 상호연계 문제를 분리시켜 해결하고자 하는 기법이 나타나고 있다. 이러한 기법을 서비스 메쉬(service mesh)라고 한다.On the other hand, interconnection through an application-to-application network is becoming important, but the network infrastructure has limited bandwidth and does not guarantee connection stability. Therefore, there are emerging techniques to resolve and solve the interrelated problems in these situations. This technique is called a service mesh.

서비스 메쉬는 인프라 계층과 응용 계층의 사이에 위치하는 계층으로, 대역폭이 한정된, 불안정한 네트워크 인프라 상에서 제공해야 할 견실한 QoS(Quality of Service)를 위한 모니터링 및 제어를 제공한다.The service mesh is a layer located between the infrastructure layer and the application layer, and provides monitoring and control for robust quality of service (QoS) to be provided on an unstable network infrastructure with limited bandwidth.

한편 기존의 서비스 메쉬 기술에서는 다음과 같은 문제점이 있었다.Meanwhile, the existing service mesh technology has the following problems.

먼저, 서비스 메쉬 프록시가 HTTP 프록시에 기반함으로써 HTTP 프로토콜에 크게 의존하였다. 이에 따라 HTTP 헤더에서 제공하는 정보 이상으로 트래픽에 대한 세밀한 모니터링이 어려운 문제점이 있었다.First, the service mesh proxy relies heavily on the HTTP protocol because it is based on the HTTP proxy. Accordingly, there is a problem in that it is difficult to closely monitor traffic over information provided by the HTTP header.

또한 제어/모니터링 평면과 데이터 평면의 분리가 되지 않았다. 이에 따라 공유 자원 상에서의 사용자의 응용이 자신을 지원하는 서비스 메쉬를 조작함으로써 공유 자원에 대한 무단접근 및 방해가 가능하였다.Also, the control / monitoring plane and the data plane were not separated. Accordingly, it is possible for the user's application on the shared resource to unauthorizedly access and interfere with the shared resource by manipulating the service mesh supporting it.

또한 CPU 연산에 전적으로 의존하고 특정 인프라와의 매핑이 불가능하였다. 이에 따라, 네트워크 처리를 지원하는 특화된 하드웨어 등의 이용이 불가능 하였고, 인프라를 나누는 네트워크 슬라이싱 등과의 연계가 불가능 하였다.Also, it was entirely dependent on CPU operation and mapping with a specific infrastructure was impossible. Accordingly, it was impossible to use specialized hardware to support network processing, and it was impossible to link with network slicing, etc., which divide the infrastructure.

따라서, 프로토콜에 얽매이지 않고, 공유 자원 상에서의 제어/모니터링 평면이 이용자가 보거나 조작할 수 없도록 데이터 평면과 완전히 분리되고, 특정 인프라와의 매핑을 통해 특화된 하드웨어 및 네트워크의 슬라이싱이 가능한 서비스 메쉬 기술 필요하게 되었다.Therefore, there is a need for a service mesh technology that is not tied to the protocol, and the control / monitoring plane on the shared resource is completely separated from the data plane so that the user cannot view or manipulate it, and it is possible to slice specialized hardware and networks through mapping with specific infrastructure. Was done.

(특허문헌 1) US9519520 B2(Patent Document 1) US9519520 B2

본 발명은 상술한 문제점을 해결하기 위한 것으로, 본 발명의 목적은, 네트워크 레벨, 네트워크 평면, 네트워크 슬라이스 및 네트워크 트래픽에 대한 인지를 기반으로 동작하는 네트워크 적응적 서비스 메쉬가 적용되는 클라우드 서비스 시스템을 제공하기 위함이다.The present invention is to solve the above-mentioned problems, the object of the present invention is to provide a cloud service system to which a network adaptive service mesh is applied that operates based on network level, network plane, network slice, and network traffic awareness. It is to do.

본 발명의 실시 예에 따른, 서비스 메쉬가 적용되는 클라우드 서비스 시스템은, 인프라 전체를 관리하는 논리적인 개체인 제어 타워, 네트워크로 연결되는 다수의 기능(function), 및, 상기 기능(function)을 거치는 트래픽의 상태 정보를 모니터링 하여 상기 제어 타워에 전송하고, 상기 제어 타워로부터 전송되는 명령에 따라 상기 트래픽을 처리하는 프록시를 포함하고, 상기 서비스 메쉬는, 네트워크 인지를 기반으로 동작하는 네트워크 적응적 서비스 메쉬이다.According to an embodiment of the present invention, a cloud service system to which a service mesh is applied includes a control tower that is a logical entity that manages the entire infrastructure, a plurality of functions connected to a network, and passes through the functions. A network adaptive service mesh operating based on network awareness, including a proxy that monitors traffic state information and transmits it to the control tower, and processes the traffic according to a command transmitted from the control tower. to be.

본 발명의 실시 예에 따른, 서비스 메쉬가 적용되는 클라우드 서비스 시스템의 트래픽 전송 방법은, 전송 노드가, 명령 및 상기 전송 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정하고, 상기 서비스 트래픽을 인캡슐레이션하고, 상기 인캡슐레이션된 트래픽을 전송하는 단계, 중간 노드가, 상기 인캡슐레이션된 트래픽을 수신하고, 상기 중간 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정하고, 상기 인캡슐레이션된 트래픽을 전송하는 단계, 및, 수신 노드가, 상기 인캡슐레이션된 트래픽을 수신하고, 상기 인캡슐레이션된 트래픽을 디캡슐레이션 하여 상기 서비스 트래픽을 획득하는 단계를 포함한다.According to an embodiment of the present invention, a traffic transmission method of a cloud service system to which a service mesh is applied determines a network slice through which a transmission node transmits service traffic based on a command and status information of a network slice connected to the transmission node. , Encapsulating the service traffic, and transmitting the encapsulated traffic, the intermediate node receiving the encapsulated traffic, and servicing traffic based on status information of a network slice connected to the intermediate node Determining a network slice to transmit, transmitting the encapsulated traffic, and a receiving node receiving the encapsulated traffic and decapsulating the encapsulated traffic to receive the service traffic. And obtaining.

도 1은 종래의 서비스 메쉬에서의 문제점을 설명하기 위한 도면이다.
도 2는 본 발명의 실시 예에 따른, 서비스 메쉬가 적용되는 클라우드 서비스 시스템을 도시한 도면이다.
도 3 및 도 4는 네트워크 슬라이스 인지, 네트워크 연결 인지, 네트워크 트래픽 인지를 설명하기 위한 도면이다.
도 5 내지 도 7은 본 발명의 트래픽의 흐름을 설명하는 플로우 챠트이다.
도 8은 본 발명의 실시 예에 따른, DNS 쿼리의 처리 과정을 설명하기 위한 도면이다.1 is a view for explaining a problem in the conventional service mesh.
2 is a diagram illustrating a cloud service system to which a service mesh is applied according to an embodiment of the present invention.
3 and 4 are diagrams for explaining network slice recognition, network connection recognition, and network traffic recognition.
5 to 7 are flow charts illustrating the flow of traffic of the present invention.
8 is a diagram for explaining a process of processing a DNS query according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Hereinafter, exemplary embodiments disclosed herein will be described in detail with reference to the accompanying drawings, but the same or similar elements are assigned the same reference numbers regardless of the reference numerals, and overlapping descriptions thereof will be omitted. The suffixes "modules" and "parts" for the components used in the following description are given or mixed only considering the ease of writing the specification, and do not have meanings or roles distinguished from each other in themselves. In addition, in describing the embodiments disclosed in the present specification, when it is determined that detailed descriptions of related known technologies may obscure the gist of the embodiments disclosed herein, detailed descriptions thereof will be omitted. In addition, the accompanying drawings are only for easy understanding of the embodiments disclosed in the present specification, and the technical spirit disclosed in the specification is not limited by the accompanying drawings, and all modifications included in the spirit and technical scope of the present invention , It should be understood to include equivalents or substitutes.

제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.Terms including ordinal numbers such as first and second may be used to describe various components, but the components are not limited by the terms. The terms are used only for the purpose of distinguishing one component from other components.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When an element is said to be "connected" or "connected" to another component, it is understood that other components may be directly connected to or connected to the other component, but may exist in the middle. It should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that no other component exists in the middle.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprises" or "have" are intended to indicate the presence of features, numbers, steps, actions, components, parts or combinations thereof described herein, one or more other features. It should be understood that the existence or addition possibilities of fields or numbers, steps, operations, components, parts or combinations thereof are not excluded in advance.

도 1은 종래의 서비스 메쉬에서의 문제점을 설명하기 위한 도면이다.1 is a view for explaining a problem in the conventional service mesh.

클라우드 서비스 시스템에서는 다수의 기능 및 다수의 기능에 각각 대응하는 프록시 들이 존재하며, 프록시들은 메쉬(mesh) 형태로 상호간에 연결되고, 프록시들은 제어 타워에 연결되어 트래픽의 상태 정보를 제어 타워에 보고하고, 제어 타워로부터 네트워크 폴리시(policy)에 따른 명령(instruction)을 수신하여 트래픽에 대한 제어를 수행한다.In the cloud service system, there are multiple functions and proxies corresponding to each of the multiple functions, and the proxies are connected to each other in the form of a mesh, and the proxies are connected to the control tower to report the traffic status information to the control tower. , Controls traffic by receiving an instruction according to the network policy from the control tower.

하나의 프록시(110) 및 기능(120)의 예를 들어 설명하면, 프록시(110)는 기능(120)(function)과 네트워크 스택(network stack)을 공유하며, 기능(120)(function)으로 유입되거나 유출되는 네트워크 트래픽을 실시간으로 모니터링 하고, 모니터링된 정보를 제어 타워에 전송하고, 제어 타워의 지시에 따라서 트래픽을 제어한다.If an example of one proxy 110 and function 120 is described, the proxy 110 shares a network stack with a function 120 and flows into the function 120 It monitors real-time or outgoing network traffic in real time, transmits the monitored information to the control tower, and controls traffic according to the control tower's instructions.

한편 트래픽과 함께, 제어 타워로부터 전송된 지시(instruction)나 네트워크의 상태 정보 등을 포함하는 메타 데이터가 유입된다.Meanwhile, along with the traffic, meta data including instructions transmitted from the control tower or state information of the network flows in.

한편 기존에는, 프록시(110)와 기능(120)(function)이 네트워크 스택(network stack)을 공유하고, 모니터링/제어 평면과 데이터 평면이 분리되어 있지 않고 하나의 평면(130)을 공유하였기 때문에, 기능(120)은 프록시에서 오고 가는 메시지 들을 엿볼 수 있었다.On the other hand, in the past, since the proxy 110 and the function 120 share a network stack, and the monitoring / control plane and the data plane are not separated, but share one plane 130, The function 120 could glimpse messages coming and going from the proxy.

이에 따라 악의를 가진 이용자가, 지시(instruction)를 조작하거나 차단 하는 등의 방법으로 인프라를 권한 없이 조작하거나, 모니터링 데이터를 조작하여 내보내는 문제가 발생할 수 있었다.Accordingly, a malicious user may have a problem in that the infrastructure is operated without permission, such as by manipulating or blocking an instruction, or by manipulating and exporting monitoring data.

또한 모니터링/제어 평면과 데이터 평면이 분리되지 않아, 데이터 트래픽과 모니터링/제어 트래픽을 나눠서 처리하지 않았기 때문에, 모든 트래픽은 반드시 프록시의 모니터링/제어 평면을 거치게 된다. 이에 따라 트래픽이 많은 경우 프록시가 병목 지점이 되는 문제가 있었다.In addition, since the monitoring / control plane and the data plane are not separated and the data traffic and the monitoring / control traffic are not divided and processed, all traffic must go through the proxy's monitoring / control plane. Accordingly, when there is a lot of traffic, the proxy becomes a bottleneck.

도 2는 본 발명의 실시 예에 따른, 서비스 메쉬가 적용되는 클라우드 서비스 시스템을 도시한 도면이다.2 is a diagram illustrating a cloud service system to which a service mesh is applied according to an embodiment of the present invention.

제어 타워(210)는 인프라 전체를 중앙에서 관리하는 논리적인 개체로서, 인프라의 운영 및 관리를 수행한다.The control tower 210 is a logical entity that centrally manages the entire infrastructure, and performs the operation and management of the infrastructure.

클라우드 서비스 시스템은, 제어 타워(210)가 언더 클라우드의 자원을 효율적으로 배분하고 관리하는 서비스를 제공하는 방식으로 동작한다. The cloud service system operates in such a way that the control tower 210 provides a service for efficiently distributing and managing resources of the under cloud.

개발자가 자신의 업무를 수행하고자, 즉, 자신의 클라우드 서비스를 사용하고자 할 때에는, 제어 타워(210)를 관리하는 운용자 측으로 요청을 한다. 운영자 측에서는 언더 클라우드의 자원을 활용하여 개발자의 요청에 상응하는 클라우드 서비스를 제공한다. 이에 따라서, 상기 개발자는 자신만의 개발센터와 자신만의 개발자 데이터 저장소가 포함되는 오버 클라우드를 운용하게 된다. When a developer wants to perform his / her business, that is, to use his cloud service, a request is made to an operator who manages the control tower 210. The operator side uses the resources of the under cloud to provide a cloud service corresponding to the developer's request. Accordingly, the developer operates his own development center and his own developer data storage overcloud.

한편 제어 타워(210)는 피지컬(P), 가상 머신(V) 또는 컨테이너(C) 형태의 기능들에 대응하는 모든 프록시 및 시큐리티 인포서를 제어할 수 있다.Meanwhile, the control tower 210 may control all proxy and security information corresponding to functions in the form of physical (P), virtual machine (V), or container (C).

따라서 제어 타워(210)는 피지컬(P), 가상 머신(V) 또는 컨테이너(C) 형태와 무관하게, 프록시 및 시큐리티 인포서들과 통일된 API로 대화하여, 세가지 자원 형태를 통합한 형태로 지원할 수 있다.Therefore, regardless of the physical (P), virtual machine (V), or container (C) type, the control tower 210 communicates with proxy and security infors through a unified API to support the three resource types in an integrated form. You can.

또한 프록시가 인접한 프록시와 네트워크 정보를 주고받는 것 만으로는 네트워크 상황 파악에 한계가 있기 때문에, 제어 타워(120)는 각 프록시들로부터 네트워크의 상태 정보를 수신할 수 있다. 이에 따라 제어 타워(120)는 서비스 메쉬 전체의 네트워크 상황을 파악하고 중앙 제어를 수행할 수 있다.In addition, since only a proxy exchanges network information with an adjacent proxy, there is a limit in understanding the network status, so the control tower 120 can receive the status information of the network from each proxy. Accordingly, the control tower 120 can grasp the network condition of the entire service mesh and perform central control.

또한 제어 타워(120)는 프록시들이 서비스 트래픽을 처리함에 있어서 사전에 필요한 서비스별 정책(Policy)을 프록시들에게 API를 통해 제공할 수 있다. 여기서 정책(Policy)은 서비스별 트래픽에 대한 네트워크 QOS(Quality of Service) 요구 조건(예를 들어 지연율, 손실률, 전송 속도 등)을 의미할 수 있다.In addition, the control tower 120 may provide a proxy for each service, which is required in advance when proxies process service traffic, through an API. Here, the policy may mean a network quality of service (QOS) requirement for traffic for each service (for example, a delay rate, a loss rate, a transmission rate, etc.).

한편 복수의 노드는 메쉬(mesh) 형태로 상호간에 연결되고, 복수의 노드는 제어 타워에 연결될 수 있다.Meanwhile, a plurality of nodes may be connected to each other in a mesh form, and the plurality of nodes may be connected to a control tower.

한편 기능(240) 및 기능(240)에 대응하는 프록시(230)는 하나의 노드(220)를 구성할 수 있다.Meanwhile, the function 240 and the proxy 230 corresponding to the function 240 may configure one node 220.

따라서 클라우드 서비스 시스템 내의 다수의 기능들은 네트워크로 연결될 수 있다. 그리고 다수의 기능에 각각 대응하는 프록시 들은 메쉬(mesh) 형태로 상호간에 연결되고, 프록시들은 제어 타워에 연결되어 트래픽의 상태 정보를 제어 타워에 보고하고, 제어 타워로부터 네트워크 폴리시(policy)에 따른 명령(instruction)을 수신하여 트래픽에 대한 제어를 수행할 수 있다.Therefore, a number of functions in the cloud service system can be connected to a network. In addition, proxies corresponding to a plurality of functions are connected to each other in the form of a mesh, and the proxies are connected to the control tower to report the status information of the traffic to the control tower, and commands according to network policy from the control tower. Traffic can be controlled by receiving an (instruction).

또한 프록시(230)는 프록시에 대응하는 기능(240)을 거치는(기능(240)으로 유입되거나 기능(240)으로부터 유출되는) 트래픽의 상태 정보를 모니터링 하여 제어 타워에 전송할 수 있다. 또한 프록시(230)는 제어 타워로부터 전송되는 인스트럭션에 따라 기능(240)을 거치는 트래픽을 제어할 수 있다.In addition, the proxy 230 may monitor and transmit status information of traffic passing through the function 240 corresponding to the proxy (flowing into or out of the function 240) to the control tower. Also, the proxy 230 may control traffic passing through the function 240 according to an instruction transmitted from the control tower.

한편 기능은 서비스(또는 마이크로 서비스)를 위한 것으로, 하나의 컨테이너나 컨테이너의 집합체를 의미할 수 있다, 또한 기능은 컨테이너(C)뿐만 아니라 피지컬(P)이나 가상 머신(V)으로 구성될 수도 있다.On the other hand, the function is for a service (or a micro service), and may mean one container or a collection of containers, and the function may be composed of a physical (P) or virtual machine (V) as well as a container (C). .

한편 본 발명은 서비스 메쉬가 적용되는 클라우드 서비스 시스템에 관한 것으로서, 본 발명에서 설명하는 서비스 메쉬는 네트워크 인지(network aware)를 기반으로 동작하는 네트워크 적응적 서비스 메쉬(Network-aware Service Mesh)로서, 서비스 메쉬의 개선된 형태일 수 있다.Meanwhile, the present invention relates to a cloud service system to which a service mesh is applied, and the service mesh described in the present invention is a network-aware service mesh that operates based on network aware service. It may be an improved form of the mesh.

여기서 네트워크 인지(network aware)는 네트워크 레벨 인지(Network Level- aware), 네트워크 평면 인지(Network Plane-aware), 네트워크 슬라이스 인지(Network Slice-aware), 네트워크 트래픽 인지(Network Traffic-aware) 중 적어도 하나를 포함할 수 있다.Here, network aware is at least one of network level-aware, network plane-aware, network slice-aware, and network traffic-aware. It may include.

먼저, 네트워크 평면 인지(Network Plane-aware)에 대하여 설명한다.First, Network Plane-aware will be described.

네트워크 평면 인지(Network Plane-aware)Network Plane-aware

기능(240)에 유입되는 트래픽은 기능(240)에서 필요로 하는 서비스 트래픽과 함께 모니터링 정보를 포함하는 메타 데이터를 포함할 수 있다. The traffic flowing into the function 240 may include metadata including monitoring information along with service traffic required by the function 240.

즉 기능에 유입되는 트래픽은 기능(240)에 전송되는 서비스 트래픽과 프록시에 전송되는 메타데이터가 인캡슐레이션(encapsulation)된 트래픽일 수 있다.That is, the traffic flowing into the function may be traffic in which service traffic transmitted to the function 240 and metadata transmitted to the proxy are encapsulated.

한편 서비스 트래픽은 서비스를 위하여 기능끼리 주고 받는 데이터일 수 있다. 또한 모니터링 정보는, 네트워크 상태 정보(예를 들어 네트워크 슬라이스의 상태 정보)나, 트래픽의 전송 상태, 성공률, 지연율 등의 트래픽의 상태 정보를 포함할 수 있다.Meanwhile, service traffic may be data exchanged between functions for service. In addition, the monitoring information may include network status information (for example, network slice status information) or traffic status information such as traffic transmission status, success rate, and delay rate.

한편 제어 타워는 서비스에 대한 정책(policy)에 기초하여, 명령(instruction)을 API를 통하여 프록시(230)에게 제공할 수 있다. 여기서 정책(Policy)은 트래픽에 대한 네트워크 QOS(Quality of Service) 요구 조건(예를 들어 지연율, 손실률, 전송 속도 등)을 의미할 수 있다.Meanwhile, the control tower may provide an instruction to the proxy 230 through an API based on a policy for a service. Here, the policy may mean a network quality of service (QOS) requirement for traffic (for example, a delay rate, a loss rate, a transmission rate, etc.).

이 경우 프록시(230)는 제어 타워로부터 명령(instruction)을 수신하고, 수신된 명령(instruction)에 기초하여 디시젼(decision)을 생성할 수 있다. 그리고 프록시(230)는 디시젼(decision)에 따라 트래픽을 처리(precessing), 즉 트래픽의 통과, 차단 등의 트래픽에 대한 제어를 수행할 수 있다.In this case, the proxy 230 may receive an instruction from the control tower, and generate a decision based on the received instruction. In addition, the proxy 230 may process traffic according to a decision, that is, control traffic such as traffic passing or blocking.

한편 프록시(230)는 기능으로 유입되는 트래픽을 모니터링/제어 평면(250) 및 데이터 평면(260)으로 구분하여 처리할 수 있다.Meanwhile, the proxy 230 may classify and process traffic flowing into a function into a monitoring / control plane 250 and a data plane 260.

구체적으로 프록시는 기능으로 유입되는 인캡술레이션된 트래픽을 디캡슐레이션(decapsulation)하여, 트래픽을 서비스의 제공을 위한 서비스 트래픽 및 메타 데이터로 분리하여 처리할 수 있다.Specifically, the proxy may decapsulate the encapsulated traffic flowing into the function, and separate the traffic into service traffic and metadata for service provision, and process the traffic.

이 경우 서비스 트래픽은 데이터 평면(260) 상의 기능(240)으로 전송될 수 있다. 또한 메타 데이터는 모니터/제어 평면(250) 상의 프록시(230)로 전송될 수 있다.In this case, service traffic may be transmitted to the function 240 on the data plane 260. Meta data may also be transmitted to the proxy 230 on the monitor / control plane 250.

즉 제어/모니터링 평면과 데이터 평면이 분리되고, 디캡슐레이션 과정에서 모니터링/제어 트래픽은 모두 걸러져서 제어 평면 트래픽 만이 기능에게 도달할 수 있다. 또한 제어/모니터링 평면은 트래픽에 대한 결정만을 내리며, 실제 트래픽에 대한 처리는 데이터 평면에서 이루어 질 수 있다.That is, the control / monitoring plane and the data plane are separated, and in the decapsulation process, all monitoring / control traffic is filtered so that only the control plane traffic can reach the function. In addition, the control / monitoring plane only makes traffic decisions, and the actual traffic processing can be done in the data plane.

한편 프록시는 메타 데이터를 이용하여 모니터링 정보, 즉 네트워크 상태 정보나 트래픽의 상태 정보를 획득할 수 있다. 그리고 프록시는 모니터링 정보를 제어 타워에 API를 통하여 전송할 수 있다.Meanwhile, the proxy may acquire monitoring information, that is, network status information or traffic status information using meta data. In addition, the proxy may transmit monitoring information to the control tower through the API.

한편 프록시(230)는 트래픽의 상태 정보를 기록하여 메타 데이터를 생성할 수 있다. 그리고 프록시는 기능(240)으로부터 유출되는 서비스 트래픽 및 생성된 메타 데이터를 인캡슐레이션(encapsulation) 할 수 있다.Meanwhile, the proxy 230 may generate metadata by recording traffic state information. In addition, the proxy may encapsulate service traffic and generated meta data flowing out of the function 240.

한편 프록시(230)는 제어 타워로부터 제공되는 명령에 따라 인캡슐레이션(encapsulation)된 트래픽을 처리(processing)할 수 있다. 즉 프록시(230)는 제어 타워의 정책에 따라 경로를 설정하여 트래픽을 전송할 수 있다.Meanwhile, the proxy 230 may process encapsulated traffic according to a command provided from the control tower. That is, the proxy 230 may transmit traffic by establishing a route according to the control tower policy.

본 발명은 제어/모니터링 채널과 데이터 채널을 분리시킴으로써, 네트워크 슬라이스의 상태 정보나 트래픽 전송 상태 정보와 같은 민감한 정보를 이용자에게 노출시키지 않을 수 있다.According to the present invention, by separating the control / monitoring channel from the data channel, sensitive information such as network slice state information and traffic transmission state information may not be exposed to the user.

또한 제어/모니터링 트래픽 만이 프록시의 제어/모니터링 평면을 거침으로써, 프록시에서 발생하는 병목을 방지할 수 있는 장점이 있다.In addition, only control / monitoring traffic goes through the control / monitoring plane of the proxy, thereby preventing the bottleneck occurring in the proxy.

다음은, 네트워크 슬라이스 인지(Network slice-aware)에 대하여 설명한다.Next, network slice-aware will be described.

네트워크 슬라이스 인지(Network slice-aware)Network slice-aware

도 3 및 도 4를 참고하면, 클라우드 서비스 시스템은 프록시(410)를 포함하는 중간 노드(310)를 포함할 수 있다.3 and 4, the cloud service system may include an intermediate node 310 including a proxy 410.

중간 노드(310)는 트래픽이 거쳐가는 중간 기착지 노드로서, 트래픽이 통과하는 네트워크 슬라이스를 전환하거나 트래픽을 중간 처리하는 노드이다.The intermediate node 310 is an intermediate stopover node through which the traffic passes, and is a node that switches a network slice through which the traffic passes or processes the traffic intermediately.

중간 노드(310)에는 퀄리티가 다른 복수의 네트워크 슬라이스가 연결될 수 있다. A plurality of network slices of different quality may be connected to the intermediate node 310.

네트워크 슬라이스는 특징을 가질 수 있다. 여기서 특징은 지연율, 스루풋 등의 퀄리티를 의미할 수 있으며, 네트워크 슬라이스 간의 특징은 서로 상이할 수 있다.The network slice can have features. Here, the characteristics may refer to quality such as delay rate and throughput, and characteristics between network slices may be different from each other.

한편 중간 노드(310)에 포함되는 프록시(410)는 인접 노드 간에 네트워크 슬라이스의 상태 정보를 상시 교환 함으로써 노드 간의 네트워크 상태를 사전에 파악하고 있다.Meanwhile, the proxy 410 included in the intermediate node 310 knows in advance the network status between nodes by constantly exchanging status information of network slices between adjacent nodes.

즉 기존의 서비스 메쉬는 마이크로 서비스 간의 트래픽만을 평가하였다면, 본 발명의 네트워크 적응적 서비스 메쉬는, 언더레이 네트워크의 정보까지 수집하여 네트워크 슬라이스의 상태 정보를 파악할 수 있다.That is, if the existing service mesh only evaluates traffic between micro-services, the network adaptive service mesh of the present invention can collect the information of the underlay network to grasp the state information of the network slice.

한편 중간 노드(310)에 포함되는 프록시(410)는 트래픽 중개 시 트래픽이 요구하는 QoS(예를 들어 지연률, 손실률, 전송 속도 등) 등이 얼마나 충족되고 있는지 평가할 수 있다.Meanwhile, the proxy 410 included in the intermediate node 310 may evaluate how satisfied the QoS (eg, delay rate, loss rate, transmission rate, etc.) required by the traffic when the traffic is brokered.

그리고 다음 노드로의 트래픽 전송 시, 중간 노드(310)에 포함되는 프록시(410)는 네트워크 슬라이스의 상태 정보 및 트래픽의 QoS 요구 조건에 기초하여 트래픽의 QoS 요구 조건을 만족시키는 최적의 네트워크 슬라이스를 선택하여 트래픽을 전송할 수 있다.And when transmitting traffic to the next node, the proxy 410 included in the intermediate node 310 selects the optimal network slice that satisfies the QoS requirements of the traffic based on the status information of the network slice and the QoS requirements of the traffic. Traffic.

다음은, 네트워크 트래픽 인지(Network Traffic-aware)에 대하여 설명한다.Next, network traffic-aware will be described.

네트워크 트래픽 인지(Network Traffic-aware)Network Traffic-aware

중간 노드(310)는 트래픽의 단순 중계뿐만 아니라, 암호화 상태 확인, ACL 필터링, 문제 발생시 전달 실패(delivery failure) 처리 등을 수행할 수 있다. 이 경우 암호화 상태 확인, ACL 필터링, 문제 발생시 전달 실패(delivery failure) 처리는 중간 노드(310)에 포함되는 시큐리티 인포서(420)(security enforcer)에 의해 수행될 수 있다.The intermediate node 310 may perform not only a simple relay of traffic, but also an encryption status check, ACL filtering, and delivery failure processing when a problem occurs. In this case, encryption status checking, ACL filtering, and delivery failure processing in the event of a problem may be performed by a security informationr 420 (security enforcer) included in the intermediate node 310.

한편 클라우드 서비스 시스템은, 전송 측 노드를 포함할 수 있다. 여기서 전송측 노드는 마이크로 서비스, 전송측 마이크로 서비스에 대응하는 프록시, 전송측 마이크로 서비스에 대응하는 시큐리티 인포서를 포함할 수 있다.Meanwhile, the cloud service system may include a node on the transmission side. Here, the transmitting node may include a microservice, a proxy corresponding to the transmitting microservice, and a security information sheet corresponding to the transmitting microservice.

전송측 마이크로서비스는 트래픽을 평문 트래픽(Plaintext traffic) 또는 암호화된 트래픽(Encrypted traffic)으로 전송할 수 있다.The microservice on the transmission side may transmit the traffic as plaintext traffic or encrypted traffic.

한편 전송측 마이크로서비스가 트래픽을 평문 트래픽(Plaintext traffic)으로 전송하는 경우, 전송측 마이크로 서비스에 대응하는 시큐리티 인포서는 평문 트래픽을 암호화 하여 암호화된 트래픽으로 변경할 수 있다.On the other hand, when the microservice of the transmitting side transmits the traffic as plaintext traffic, the security information corresponding to the microservice of the transmitting side may encrypt the plaintext traffic and change it into encrypted traffic.

이 경우 평문 트래픽의 암호화는, 시큐리티 인포서 내 TrafficCrypto가 수행할 수 있다.In this case, the encryption of plain text traffic can be performed by TrafficCrypto in the security information sheet.

한편 중간노드에서 트래픽을 수신한 경우, 중간 노드에 포함되는 시큐리티 인포서는, ACL 필터링을 수행하여, 허용된 대상으로부터만 트래픽을 수신하거나, 허용된 대상으로만 트래픽을 보낼 수 있다.On the other hand, when the traffic is received from the intermediate node, the security information contained in the intermediate node may perform ACL filtering to receive traffic only from the allowed targets or send traffic only to the allowed targets.

또한 중간 노드에 포함되는 시큐리티 인포서는 트래픽의 암호화 상태를 확인하고, 문제 발생 시 전달 실패(delivery failure) 처리를 수행할 수 있다.In addition, the security information contained in the intermediate node can check the encryption status of the traffic and perform delivery failure processing when a problem occurs.

한편 클라우드 서비스 시스템은, 수신 측 노드를 포함할 수 있다. 여기서 수신측 노드는 수신측 마이크로 서비스, 수신측 마이크로 서비스에 대응하는 프록시, 수신측 마이크로 서비스에 대응하는 시큐리티 인포서를 포함할 수 있다.Meanwhile, the cloud service system may include a receiving node. Here, the receiving node may include a receiving microservice, a proxy corresponding to the receiving microservice, and a security information sheet corresponding to the receiving microservice.

수신측 마이크로 서비스에 대응하는 시큐리티 인포서는, 암호화된 트래픽의 암호화를 해지하여 평문 트래픽을 획득하고, 평문 트래픽을 수신측 마이크로 서비스에 전송할 수 있다.The security information sheet corresponding to the receiving microservice may decrypt the encrypted traffic to obtain plaintext traffic, and transmit the plaintext traffic to the receiving microservice.

즉, 마이크로서비스에서 보안 상 우려가 될 수 있는 평문 전송 시, 중간 단계에서 Security Enforcer가 개입하여 트래픽을 암호화하여 전송한다. 그리고 수신측의 시큐리티 인포서가 암호화를 해제함으로써 수신측의 마이크로서비스는 평문으로 트래픽을 수신한다. 따라서 마이크로 서비스 자체에서 암호화를 고려할 필요성을 줄이고, 마이크로 서비스의 이용자 입장에서는 중간에 암호화 과정을 인지하지 못하기 때문에, 보안성을 향상시킬 수 있다.In other words, in the case of plaintext transmission, which may be a security concern in microservices, the Security Enforcer intervenes in the intermediate step to encrypt and transmit the traffic. Then, the security information of the receiving side decrypts, so the microservice of the receiving side receives the traffic in plain text. Therefore, it is possible to reduce the need to consider encryption in the micro service itself, and improve security because the encryption process is not recognized in the middle of the user's viewpoint.

한편 시큐리티 인포서는, DNS 쿼리에 대한 처리를 수행할 수 있다.On the other hand, the security infoter can perform processing for DNS queries.

구체적으로 마이크로 서비스는 DNS 쿼리를 전송할 수 있다. 여기서 DNS 쿼리는 평문일 수 있다.Specifically, the microservice can send DNS queries. Here, the DNS query may be plain text.

이 경우 마이크로 서비스에 대응하는 시큐리티 인포서는 DNS 쿼리를 암호화 하고, 암호화된 DNS 쿼리를 전용 서버에 전송할 수 있다.In this case, the security information sheet corresponding to the micro service may encrypt the DNS query and transmit the encrypted DNS query to a dedicated server.

이 경우 평문 DNS 쿼리의 암호화는, 시큐리티 인포서 내 DNS Crypto가 수행할 수 있다.In this case, the encryption of the plaintext DNS query can be performed by DNS Crypto in the security information sheet.

그리고 전용 서버로부터 DNS 쿼리에 대한 암호화된 응답이 수신되면, 마이크로 서비스에 대응하는 시큐리티 인포서는 암호화된 응답의 암호를 해제하고 평문 형태의 응답을 마이크로 서비스에 전송할 수 있다.In addition, when an encrypted response to the DNS query is received from the dedicated server, the security information server corresponding to the microservice may decrypt the encrypted response and transmit a plaintext response to the microservice.

DNS 쿼리는 모두 평문으로써 대부분의 마이크로서비스도 이에 맞춰져 있으다. 따라서 종래에는 이용자는 쿼리의 조작을 통하여 쿼리의 목적지를 변경할 수 있었다. 다만 본 발명은 중간 단계에서 DNS 쿼리를 암호화하여 DNS 서버에 안전하게 전송함으로써 위변조 및 감시를 차단하고, 암호화된 형태의 회신을 받아 다시 평문 상태로 마이크로서비스에 전달함으로써 마이크로서비스에 대한 호환성을 보장하면서 DNS 쿼리의 안전성을 보장할 수 있다.DNS queries are all plain text, so most microservices are also aligned. Therefore, in the related art, the user can change the destination of the query through manipulation of the query. However, the present invention blocks DNS forgery and surveillance by encrypting the DNS query in an intermediate step and safely transmitting it to the DNS server, and receiving the encrypted form of the reply and passing it back to the microservice in plain text to ensure compatibility with the microservice while maintaining DNS You can guarantee the safety of the query.

다음은 네트워크 레벨 인지(Network level-aware)에 대하여 설명한다.The following describes network level-aware.

네트워크 레벨 인지(Network level-aware)Network level-aware

기능은 피지컬(P), 가상 머신(V) 또는 컨테이너(C)의 형태일 수 있다.The function may be in the form of physical (P), virtual machine (V) or container (C).

그리고 제어 타워는 다양한 형태의 기능에 대응하는 프록시 및 시큐리티 인포서를 총괄하여 제어할 수 있다. 이를 위해 제어 타워는 형태가 다른 복수의 기능에 대응하는 복수의 프록시 및 시큐리티 인포서와 통일된 API로 대화할 수 있다.In addition, the control tower can collectively control proxy and security information sheets corresponding to various types of functions. To this end, the control tower can communicate with a plurality of proxies and security infors corresponding to a plurality of different types of functions with a unified API.

즉 기능이 피지컬, 가상 머신, 컨테이너 등의 환경에 관계 없이 동일한 기능을 수행할 수 있도록, 기능의 형태에 관계 없이 제어 타워, 프록시 및 시큐리티 인포서는 통일된 API로 대화할 수 있다.In other words, the control tower, proxy, and security infors can communicate with a unified API regardless of the type of function so that the function can perform the same function regardless of the environment such as physical, virtual machine, and container.

프록시은 자신이 배치된 노드에 대한 네트워크 상태 정보를 모두 제어 타워에 보고하므로 제어 타워에서는 네트워크 적응적 서비스 메쉬가 배치된 네트워크 상태를 파악할 수 있다. 이에 따라 제어 타워는 이 정보를 바탕으로 프록시들에게 각 서비스를 위한 QoS 정책 설정을 쉽게 내릴 수 있으며, 피지컬, 가상 머신, 컨테이너의 세가지 형태를 총괄하여 제어할 수 있다.Since the proxy reports all network status information of the node on which it is deployed to the control tower, the control tower can grasp the network status where the network adaptive service mesh is deployed. Accordingly, the control tower can easily set the QoS policy for each service to the proxies based on this information, and can collectively control three types of physical, virtual machine, and container.

도 5 내지 도 7은 본 발명의 트래픽의 흐름을 설명하는 플로우 챠트이다.5 to 7 are flow charts illustrating the flow of traffic of the present invention.

먼저 플로우 챠트를 큰 틀에서 설명하면, 전송 노드(sender node)는 명령 및 전송 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정하고, 서비스 트래픽을 인캡슐레이션하고, 인캡슐레이션된 트래픽을 전송할 수 있다.First, the flow chart is described in a large frame. The sender node determines a network slice to transmit service traffic based on the command and status information of the network slice connected to the transmit node, encapsulates service traffic, and prints Encapsulated traffic can be transmitted.

그리고 중간 노드(Intermediate Node)는, 인캡슐레이션된 트래픽을 수신하고, 중간 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정하고, 인캡슐레이션된 트래픽을 전송할 수 있다.The intermediate node may receive the encapsulated traffic, determine a network slice to transmit service traffic based on the state information of the network slice connected to the intermediate node, and transmit the encapsulated traffic.

그리고 수신 노드(Recipient Node)는 인캡슐레이션된 트래픽을 수신하고, 인캡슐레이션된 트래픽을 디캡슐레이션 하여 서비스 트래픽을 획득할 수 있다.In addition, a receiving node may receive encapsulated traffic and decapsulate the encapsulated traffic to obtain service traffic.

이하에서는 도 5 내지 도 7을 참고하여, 서비스 메쉬가 적용되는 클라우드 서비스 시스템의 트래픽 전송 방법을 더욱 구체적으로 설명한다.Hereinafter, a traffic transmission method of a cloud service system to which a service mesh is applied will be described in more detail with reference to FIGS. 5 to 7.

전송 노드에 대응하는 전송측 마이크로서비스는 서비스 트래픽을 평문 트래픽(Plaintext traffic) 또는 암호화된 트래픽(Encrypted traffic)으로 전송할 수 있다(S511).The microservice on the transmission side corresponding to the transmission node may transmit the service traffic as plaintext traffic or encrypted traffic (S511).

한편 전송 노드에 대응하는 시큐리티 인포서는, ACL 필터링을 수행하여 서비스 트래픽이 허용된 대상으로 전송되는지 확인하고, 허용된 대상이 아닌 경우에는 마이크로 서비스에 트래픽 거절 통지(traffic rejection notification)를 전송할 수 있다.On the other hand, the security information sheet corresponding to the transmitting node may perform ACL filtering to check whether service traffic is transmitted to the permitted destination, and if it is not permitted, transmit a traffic rejection notification to the microservice.

한편 허용된 대상인 경우, 시큐리티 인포서는 서비스 트래픽을 암호화 할 수 있다(S515). 이 경우 시큐리티 인포서는 평문 트래픽(Plaintext traffic)을 암호화 하여 암호화된 트래픽(Encrypted traffic)으로 변경할 수 있다.On the other hand, if the target is allowed, the security information can encrypt the service traffic (S515). In this case, the security infomer can encrypt plaintext traffic and convert it into encrypted traffic.

그리고 시큐리티 인포서는 암호화된 트래픽을 전송 노드에 대응하는 프록시에 전송할 수 있다.In addition, the security infoter can transmit the encrypted traffic to the proxy corresponding to the transmitting node.

한편 전송 노드에 대응하는 프록시가 인접 노드와 네트워크 슬라이스의 상태 정보를 공유하고, 서비스에 대한 정책을 반영한 명령 및 전송 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정할 수 있다.Meanwhile, the proxy corresponding to the transmitting node may share the status information of the network slice with the neighboring node, and determine a network slice to transmit the service traffic based on the command reflecting the policy for the service and the status information of the network slice connected to the transmitting node. .

그리고 전송 노드에 대응하는 프록시는 암호화된 서비스 트래픽을 메타 데이터와 함께 인캡슐레이션 하고, 인캡슐레이션된 트래픽을 전송할 수 있다(S517)In addition, the proxy corresponding to the transmitting node encapsulates the encrypted service traffic together with the metadata, and transmits the encapsulated traffic (S517).

한편 중간 노드에 대응하는 프록시는 인캡슐레이션된 트래픽을 수신하고, 수신된 인캡슐레이션된 트래픽을 디캡슐레이션하여 암호화된 트래픽을 획득할 수 있다(S519). 그리고 중간 노드에 대응하는 프록시는 중간 노드에 대응하는 시큐리티 인포서에 암호화된 트래픽을 전송할 수 있다.Meanwhile, the proxy corresponding to the intermediate node may receive encapsulated traffic and decapsulate the received encapsulated traffic to obtain encrypted traffic (S519). In addition, the proxy corresponding to the intermediate node may transmit encrypted traffic to the security informationr corresponding to the intermediate node.

중간 노드에 대응하는 시큐리티 인포서는 암호화된 트래픽을 ACL 필터링할 수 있다(S521).The security information server corresponding to the intermediate node may ACL-filter the encrypted traffic (S521).

그리고 허용된 대상으로부터 수신된 트래픽이 아닌 경우, 중간 노드에 대응하는 시큐리티 인포서는 중간 노드에 대응하는 프록시에 트래픽 거절 통지(traffic rejection notification)를 전송할 수 있다. 이 경우 중간 노드에 대응하는 프록시는 전송 노드에 대응하는 프록시에 전달 실패 통지(delivery failure notification)를 전송할 수 있다.In addition, if the traffic is not received from the allowed target, the security information corresponding to the intermediate node may transmit a traffic rejection notification to the proxy corresponding to the intermediate node. In this case, the proxy corresponding to the intermediate node may send a delivery failure notification to the proxy corresponding to the transmitting node.

한편 허용된 대상으로부터 수신된 트래픽인 경우, 중간 노드에 대응하는 시큐리티 인포서는 암호화된 트래픽의 유효성을 확인할 수 있다(S523).On the other hand, in the case of traffic received from the allowed target, the security information corresponding to the intermediate node may check the validity of the encrypted traffic (S523).

한편 암호화된 트래픽이 유효하지 않은 경우, 중간 노드에 대응하는 시큐리티 인포서는 중간 노드에 대응하는 프록시에 트래픽 거절 통지(traffic rejection notification)를 전송할 수 있다. 이 경우 중간 노드에 대응하는 프록시는 전송 노드에 대응하는 프록시에 전달 실패 통지(delivery failure notification)를 전송할 수 있다.On the other hand, if the encrypted traffic is invalid, the security infotor corresponding to the intermediate node may transmit a traffic rejection notification to the proxy corresponding to the intermediate node. In this case, the proxy corresponding to the intermediate node may send a delivery failure notification to the proxy corresponding to the transmitting node.

한편 암호화된 트래픽이 유효한 경우, 중간 노드에 대응하는 시큐리티 인포서는 암호화된 트래픽을 중간 노드에 대응하는 프록시에 전송할 수 있다(S525).On the other hand, when the encrypted traffic is valid, the security information server corresponding to the intermediate node may transmit the encrypted traffic to the proxy corresponding to the intermediate node (S525).

한편 중간 노드에 대응하는 프록시는, 인접 노드와 네트워크 슬라이스의 상태 정보를 공유하고, 서비스에 대한 정책에 따른 명령 및 중간 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정할 수 있다.Meanwhile, the proxy corresponding to the intermediate node can share the state information of the network slice with the neighboring node, and determine a network slice to transmit service traffic based on the command according to the policy for the service and state information of the network slice connected to the intermediate node. have.

그리고 중간 노드에 대응하는 프록시는 암호화된 트래픽을 메타 데이터와 함께 인캡슐레이션 하고, 인캡슐레이션된 트래픽을 전송할 수 있다(S527).Then, the proxy corresponding to the intermediate node may encapsulate the encrypted traffic together with the metadata, and transmit the encapsulated traffic (S527).

한편 수신 노드에 대응하는 프록시는 인캡슐레이션된 트래픽을 수신하고, 수신된 인캡슐레이션된 트래픽을 디캡슐레이션하여 암호화된 트래픽을 획득할 수 있다(S529). 그리고 수신 노드에 대응하는 프록시는 수신 노드에 대응하는 시큐리티 인포서에 암호화된 트래픽을 전송할 수 있다.Meanwhile, the proxy corresponding to the receiving node may receive encapsulated traffic, and decapsulate the received encapsulated traffic to obtain encrypted traffic (S529). In addition, the proxy corresponding to the receiving node may transmit the encrypted traffic to the security informationr corresponding to the receiving node.

이 경우 수신 노드에 대응하는 시큐리티 인포서는 암호화된 트래픽을 ACL 필터링할 수 있다(S531).In this case, the security information sheet corresponding to the receiving node may ACL-filter the encrypted traffic (S531).

그리고 허용된 대상으로부터 수신된 트래픽이 아닌 경우, 수신 노드에 대응하는 시큐리티 인포서는 수신 노드에 대응하는 프록시에 트래픽 거절 통지(traffic rejection notification)를 전송할 수 있다. 이 경우 수신 노드에 대응하는 프록시는 중간 노드에 대응하는 프록시에 전달 실패 통지(delivery failure notification)를 전송할 수 있다. 또한 중간 노드에 대응하는 프록시는 전송 노드에 대응하는 프록시에 전달 실패 통지(delivery failure notification)를 전송하고, 전송 노드에 대응하는 프록시는 전송 노드에 대응하는 마이크로 서비스에 전달 실패 통지(delivery failure notification)를 전송할 수 있다.In addition, if the traffic is not received from the allowed target, the security information corresponding to the receiving node may transmit a traffic rejection notification to the proxy corresponding to the receiving node. In this case, the proxy corresponding to the receiving node may send a delivery failure notification to the proxy corresponding to the intermediate node. In addition, the proxy corresponding to the intermediate node transmits a delivery failure notification to the proxy corresponding to the transmitting node, and the proxy corresponding to the transmitting node delivers delivery failure notification to the microservice corresponding to the transmitting node. Can send.

한편 허용된 대상으로부터 수신된 트래픽인 경우, 수신 노드에 대응하는 시큐리티 인포서는 암호화된 트래픽의 유효성을 확인할 수 있다(S533).On the other hand, in the case of traffic received from the allowed target, the security information corresponding to the receiving node may check the validity of the encrypted traffic (S533).

한편 암호화된 트래픽이 유효하지 않은 경우, 수신 노드에 대응하는 시큐리티 인포서는 수신 노드에 대응하는 프록시에 트래픽 거절 통지(traffic rejection notification)를 전송할 수 있다. 이 경우 수신 노드에 대응하는 프록시는 중간 노드에 대응하는 프록시에 전달 실패 통지(delivery failure notification)를 전송할 수 있다. 또한 중간 노드에 대응하는 프록시는 전송 노드에 대응하는 프록시에 전달 실패 통지(delivery failure notification)를 전송하고, 전송 노드에 대응하는 프록시는 전송 노드에 대응하는 마이크로 서비스에 전달 실패 통지(delivery failure notification)를 전송할 수 있다.On the other hand, if the encrypted traffic is invalid, the security infotor corresponding to the receiving node may transmit a traffic rejection notification to the proxy corresponding to the receiving node. In this case, the proxy corresponding to the receiving node may send a delivery failure notification to the proxy corresponding to the intermediate node. In addition, the proxy corresponding to the intermediate node transmits a delivery failure notification to the proxy corresponding to the transmitting node, and the proxy corresponding to the transmitting node delivers delivery failure notification to the microservice corresponding to the transmitting node. Can send.

한편 암호화된 트래픽이 유효한 경우, 수신 노드에 대응하는 시큐리티 인포서는 암호화된 트래픽의 암호를 해제하여 평문 트래픽을 획득하고, 평문 트래픽을 수신 노드에 대응하는 마이크로서비스에 전송할 수 있다(S535).On the other hand, if the encrypted traffic is valid, the security information processor corresponding to the receiving node may decrypt the encrypted traffic to obtain plain text traffic and transmit the plain text traffic to the microservice corresponding to the receiving node (S535).

한편 최초에 전송 노드에 대응하는 마이크로 서비스가 암호화된 트래픽을 전송한 경우, 수신 노드에 대응하는 시큐리티 임포서는 암호화 해제 과정 없이 암호화된 트래픽을 수신 노드에 대응하는 마이크로 서비스에 전송할 수 있다.Meanwhile, when the microservice corresponding to the transmitting node initially transmits the encrypted traffic, the security importer corresponding to the receiving node may transmit the encrypted traffic to the microservice corresponding to the receiving node without the decryption process.

한편 암호화된 트래픽이 유효한 경우, 수신 노드에 대응하는 시큐리티 인포서는 수신 노드에 대응하는 프록시에 전달 성공 통지(delivery rejection notification)를 전송할 수 있다. On the other hand, when the encrypted traffic is valid, the security information server corresponding to the receiving node may transmit a delivery rejection notification to the proxy corresponding to the receiving node.

도 8은 본 발명의 실시 예에 따른, DNS 쿼리의 처리 과정을 설명하기 위한 도면이다.8 is a diagram for explaining a process of processing a DNS query according to an embodiment of the present invention.

전송 노드에 대응하는 마이크로 서비스는 평문의 DNS 쿼리를 전송할 수 있다(S601).The microservice corresponding to the transmitting node may transmit a plaintext DNS query (S601).

한편 전송 노드에 대응하는 시큐리티 인포서는, ACL 필터링을 수행하여 DNS 쿼리가 허용된 대상으로 전송되는지 확인하고, 허용된 대상이 아닌 경우에는 마이크로 서비스에 트래픽 거절 통지(traffic rejection notification)를 전송할 수 있다.On the other hand, the security information sheet corresponding to the transmitting node performs ACL filtering to check whether a DNS query is transmitted to an allowed destination, and if it is not allowed, a traffic rejection notification to a microservice.

한편 허용된 대상인 경우, 시큐리티 인포서는 평문의 DNS 쿼리를 암호화 하여 신뢰할 수 있는 공용의 DNS 서버에 전송할 수 있다.On the other hand, if allowed, the security infomer can encrypt the plaintext DNS query and send it to a trusted public DNS server.

한편 전송 노드에 대응하는 시큐리티 인포서는 서버로부터 암호화된 응답을 수신하고, 암호화된 응답의 암호를 해제하여 평문의 응답을 획득할 수 있다.On the other hand, the security information sheet corresponding to the transmitting node may receive an encrypted response from the server and decrypt the encrypted response to obtain a response in plain text.

그리고 전송 노드에 대응하는 시큐리티 인포서는 평문의 응답을 전송 노드에 대응하는 마이크로 서비스에 전송할 수 있다(S605).In addition, the security information sheet corresponding to the transmitting node may transmit a response of the plaintext to the microservice corresponding to the transmitting node (S605).

전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above-described present invention can be embodied as computer readable codes on a medium on which a program is recorded. The computer-readable medium includes any kind of recording device in which data readable by a computer system is stored. Examples of computer-readable media include a hard disk drive (HDD), solid state disk (SSD), silicon disk drive (SDD), ROM, RAM, CD-ROM, magnetic tape, floppy disk, and optical data storage device. There is this. The above detailed description should not be construed as limiting in all respects and should be considered illustrative. The scope of the present invention should be determined by rational interpretation of the appended claims, and all changes within the equivalent scope of the present invention are included in the scope of the present invention.

Claims (16)

서비스 메쉬가 적용되는 클라우드 서비스 시스템에 있어서,
인프라 전체를 관리하는 논리적인 개체인 제어 타워;
네트워크로 연결되는 다수의 기능(function); 및
상기 기능(function)을 거치는 트래픽의 상태 정보를 모니터링 하여 상기 제어 타워에 전송하고, 상기 제어 타워로부터 전송되는 명령에 따라 상기 트래픽을 처리하는 프록시;를 포함하고,
상기 서비스 메쉬는,
네트워크 인지를 기반으로 동작하는 네트워크 적응적 서비스 메쉬이고,
상기 프록시는,
상기 기능(function)으로 유입되는 상기 트래픽을 디캡슐레이션하여 상기 트래픽을 메타 데이터 및 서비스의 제공을 위한 서비스 트래픽로 분리하여 처리하고,
상기 서비스 트래픽은 데이터 평면 상의 상기 기능(function)으로 전송되고,
상기 메타 데이터는 모니터/제어 평면 상의 상기 프록시로 전송되는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.In the cloud service system to which the service mesh is applied,
A control tower, which is a logical entity managing the entire infrastructure;
A plurality of functions connected to a network; And
It includes; a proxy for monitoring status information of traffic passing through the function and transmitting it to the control tower, and processing the traffic according to a command transmitted from the control tower.
The service mesh,
It is a network adaptive service mesh that operates based on network awareness.
The proxy,
The traffic flowing into the function is decapsulated to separate the traffic into service traffic for providing metadata and services, and processing
The service traffic is transmitted to the function on the data plane,
The metadata is transmitted to the proxy on the monitor / control plane.
Cloud service system to which service mesh is applied. 삭제delete 삭제delete 제 1항에 있어서,
상기 프록시는,
상기 메타 데이터를 이용하여 상기 트래픽의 상태 정보를 획득하여 상기 제어 타워에 전송하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.According to claim 1,
The proxy,
Using the metadata to obtain the status information of the traffic to transmit to the control tower
Cloud service system to which service mesh is applied. 제 4항에 있어서,
상기 프록시는,
상기 기능(function)으로부터 유출되는 서비스 트래픽 및 메타 데이터를 인캡슐레이션하여, 상기 트래픽을 상기 명령에 따라 전송하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.The method of claim 4,
The proxy,
Encapsulating service traffic and meta data flowing out of the function, and transmitting the traffic according to the command
Cloud service system to which service mesh is applied. 제 1항에 있어서,
프록시를 포함하는 중간 노드;를 더 포함하고,
상기 중간 노드에는 퀄리티가 다른 복수의 네트워크 슬라이스가 연결되고,
상기 중간 노드에 대응하는 프록시는 인접한 노드와 상기 복수의 네트워크 슬라이스의 상태 정보를 공유하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.According to claim 1,
Intermediate node including a proxy; further comprises,
A plurality of network slices of different quality are connected to the intermediate node,
The proxy corresponding to the intermediate node shares state information of the plurality of network slices with an adjacent node.
Cloud service system to which service mesh is applied. 제 6항에 있어서,
상기 중간 노드에 대응하는 프록시는,
상기 중간 노드를 거치는 트래픽의 QOS 요구 조건을 만족시키는 네트워크 슬라이스를 이용하여 상기 트래픽을 전송하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.The method of claim 6,
The proxy corresponding to the intermediate node,
Transmitting the traffic using a network slice that satisfies the QOS requirement of traffic passing through the intermediate node
Cloud service system to which service mesh is applied. 제 6항에 있어서,
전송 측 마이크로 서비스에 대응하는 시큐리티 인포서를 더 포함하고,
상기 전송 측 마이크로 서비스에 대응하는 시큐리티 인포서는,
상기 전송 측 마이크로 서비스로부터 평문 트래픽이 전송된 경우, 상기 평문 트래픽을 암호화 하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.The method of claim 6,
Further comprising a security information sheet corresponding to the micro-service of the transmission side,
The security information sheet corresponding to the micro-service of the transmission side,
When the plaintext traffic is transmitted from the microservice of the transmitting side, the plaintext traffic is encrypted.
Cloud service system to which service mesh is applied. 제 8항에 있어서,
수신측 마이크로 서비스에 대응하는 시큐리티 인포서를 더 포함하고,
상기 수신측 마이크로 서비스에 대응하는 시큐리티 인포서는,
상기 암호화된 트래픽의 암호화를 해제하여 평문 트래픽을 상기 수신측 마이크로 서비스에 전송하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.The method of claim 8,
Further comprising a security information sheet corresponding to the receiving micro-service,
The security information sheet corresponding to the receiving microservice,
Decrypting the encrypted traffic to transmit plaintext traffic to the receiving microservice
Cloud service system to which service mesh is applied. 제 8항에 있어서,
상기 트래픽은,
서비스의 제공을 위한 서비스 트래픽 및 DNS 트래픽을 포함하고,
상기 시큐리티 인포서는,
상기 DNS 트래픽을 암호화 하여 DNS 서버에 전송하고, 상기 DNS 서버로부터 암호화된 응답이 수신되면 상기 암호화된 응답의 암호화를 해제하여 평문의 DNS 트래픽을 상기 마이크로 서비스에 전송하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.The method of claim 8,
The traffic,
Service traffic and DNS traffic for the provision of services,
The security information book,
The DNS traffic is encrypted and transmitted to a DNS server, and when an encrypted response is received from the DNS server, the encrypted response is decrypted to transmit plaintext DNS traffic to the microservice.
Cloud service system to which service mesh is applied. 제 8항에 있어서,
상기 기능(function)은,
피지컬, 가상 머신 또는 컨테이너의 형태이고,
상기 제어 타워가 피지컬, 가상 머신 또는 컨테이너의 형태의 기능(function)에 대응하는 프록시 및 시큐리티 인포서를 총괄하여 제어할 수 있도록, 상기 제어 타워는 형태가 다른 복수의 기능에 대응하는 복수의 프록시 및 시큐리티 인포서와 통일된 API로 대화하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템.The method of claim 8,
The function (function),
In the form of a physical, virtual machine or container,
The control tower has a plurality of proxies and security corresponding to a plurality of functions of different shapes so that the control tower can collectively control proxies and security information sheets corresponding to functions in the form of physical, virtual machines or containers. To communicate with the Informer and a unified API
Cloud service system to which service mesh is applied. 전송 노드가, 명령 및 상기 전송 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정하고, 상기 서비스 트래픽을 인캡슐레이션하고, 상기 인캡슐레이션된 트래픽을 전송하는 단계;
중간 노드가, 상기 인캡슐레이션된 트래픽을 수신하고, 상기 중간 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정하고, 상기 인캡슐레이션된 트래픽을 전송하는 단계; 및
수신 노드가, 상기 인캡슐레이션된 트래픽을 수신하고, 상기 인캡슐레이션된 트래픽을 디캡슐레이션 하여 상기 서비스 트래픽을 획득하는 단계;를 포함하고,
상기 중간 노드가, 상기 인캡슐레이션된 트래픽을 전송하는 단계는,
상기 중간 노드에 대응하는 프록시가 상기 인캡슐레이션된 트래픽을 수신하고, 상기 인캡슐레이션된 트래픽을 디캡슐레이션 하는 단계;
상기 중간 노드에 대응하는 시큐리티 인포서가, 상기 인캡슐레이션된 트래픽을 디캡슐레이션 함으로써 획득된 암호화된 트래픽을 필터링 하는 단계; 및
상기 중간 노드에 대응하는 시큐리티 인포서가, 상기 암호화된 트래픽이 유효하다고 판단되면, 상기 암호화된 트래픽을 상기 중간 노드에 대응하는 프록시에 전송하는 단계;를 포함하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템의 트래픽 전송 방법.Determining, by a transmitting node, a network slice to transmit service traffic based on the command and status information of a network slice connected to the transmitting node, encapsulating the service traffic, and transmitting the encapsulated traffic;
An intermediate node receiving the encapsulated traffic, determining a network slice to transmit service traffic based on status information of a network slice connected to the intermediate node, and transmitting the encapsulated traffic; And
And a receiving node receiving the encapsulated traffic and decapsulating the encapsulated traffic to obtain the service traffic.
The intermediate node, transmitting the encapsulated traffic,
A proxy corresponding to the intermediate node receiving the encapsulated traffic, and decapsulating the encapsulated traffic;
Filtering the encrypted traffic obtained by decapsulating the encapsulated traffic by the security informationr corresponding to the intermediate node; And
The security information corresponding to the intermediate node, if it is determined that the encrypted traffic is valid, transmitting the encrypted traffic to the proxy corresponding to the intermediate node; includes
Traffic transmission method of cloud service system to which service mesh is applied. 제 12항에 있어서,
상기 전송 노드가 상기 인캡슐레이션된 트래픽을 전송하는 단계는,
상기 전송 노드에 대응하는 마이크로 서비스가 상기 서비스 트래픽을 전송하는 단계;
상기 전송 노드에 대응하는 시큐리티 인포서가 상기 서비스 트래픽을 필터링 하고 암호화 하는 단계;
상기 전송 노드에 대응하는 프록시가 인접 노드와 네트워크 슬라이스의 상태 정보를 공유하고, 인스트럭션 및 상기 전송 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정하는 단계; 및
상기 전송 노드에 대응하는 프록시가 상기 암호화된 서비스 트래픽을 인캡슐레이션 하고, 상기 인캡슐레이션된 트래픽을 전송하는 단계를 포함하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템의 트래픽 전송 방법.The method of claim 12,
The transmitting node transmitting the encapsulated traffic,
Transmitting, by the micro-service corresponding to the transmitting node, the service traffic;
Filtering and encrypting the service traffic by the security informationr corresponding to the transmitting node;
A proxy corresponding to the transmitting node shares state information of a network slice with an adjacent node, and determines a network slice to transmit service traffic based on an instruction and state information of the network slice connected to the transmitting node; And
And a proxy corresponding to the transmitting node encapsulating the encrypted service traffic and transmitting the encapsulated traffic.
Traffic transmission method of cloud service system to which service mesh is applied. 제 12항에 있어서,
상기 중간 노드가, 상기 인캡슐레이션된 트래픽을 전송하는 단계는,
상기 중간 노드에 대응하는 프록시가, 인접 노드와 네트워크 슬라이스의 상태 정보를 공유하고, 인스트럭션 및 상기 중간 노드에 연결된 네트워크 슬라이스의 상태 정보에 기초하여 서비스 트래픽을 전송할 네트워크 슬라이스를 결정하는 단계; 및
상기 중간 노드에 대응하는 프록시가 상기 암호화된 트래픽을 인캡슐레이션 하고, 상기 인캡슐레이션된 트래픽을 전송하는 단계;를 더 포함하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템의 트래픽 전송 방법.The method of claim 12,
The intermediate node, transmitting the encapsulated traffic,
A proxy corresponding to the intermediate node, sharing state information of a network slice with an adjacent node, and determining a network slice to transmit service traffic based on an instruction and state information of a network slice connected to the intermediate node; And
And the proxy corresponding to the intermediate node encapsulates the encrypted traffic and transmits the encapsulated traffic.
Traffic transmission method of cloud service system to which service mesh is applied. 제 12항에 있어서,
상기 수신 노드가 상기 서비스 트래픽을 획득하는 단계는,
상기 수신 노드에 대응하는 프록시가 상기 인캡슐레이션된 트래픽을 수신하고, 상기 인캡슐레이션된 트래픽을 디캡슐레이션 하는 단계;
상기 수신 노드에 대응하는 시큐리티 인포서가, 상기 인캡슐레이션된 트래픽을 디캡슐레이션 함으로써 획득된 암호화된 트래픽을 필터링 하는 단계;
상기 수신 노드에 대응하는 시큐리티 인포서가, 상기 암호화된 트래픽이 유효하다고 판단되면, 상기 암호화된 트래픽의 암호를 해제하여 평문 트래픽을 획득하고, 상기 평문 트래픽을 상기 수신 노드에 대응하는 마이크로서비스에 전송하는 단계;를 포함하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템의 트래픽 전송 방법.The method of claim 12,
The receiving node obtaining the service traffic comprises:
A proxy corresponding to the receiving node receiving the encapsulated traffic, and decapsulating the encapsulated traffic;
Filtering the encrypted traffic obtained by decapsulating the encapsulated traffic by the security informationr corresponding to the receiving node;
When the security information corresponding to the receiving node determines that the encrypted traffic is valid, decrypts the encrypted traffic to obtain plaintext traffic, and transmits the plaintext traffic to the microservice corresponding to the receiving node. Step; containing
Traffic transmission method of cloud service system to which service mesh is applied. 제 12항에 있어서,
상기 전송 노드에 대응하는 마이크로 서비스가 평문의 DNS 쿼리를 전송하는 단계;
상기 전송 노드에 대응하는 시큐리티 인포서가 상기 평문의 DNS 쿼리를 암호화 하여 서버에 전송하는 단계;
상기 전송 노드에 대응하는 시큐리티 인포서가 상기 서버로부터 암호화된 응답을 수신하고, 상기 암호화된 응답의 암호를 해제하여 평문의 응답을 획득하는 단계; 및
상기 전송 노드에 대응하는 시큐리티 인포서가 상기 평문의 응답을 상기 전송 노드에 대응하는 마이크로 서비스에 전송하는 단계;를 더 포함하는
서비스 메쉬가 적용되는 클라우드 서비스 시스템의 트래픽 전송 방법.The method of claim 12,
Sending, by the microservice corresponding to the transmitting node, a DNS query in plain text;
Encrypting a DNS query of the plain text by the security information server corresponding to the transmitting node and transmitting the encrypted query to a server;
A security informationr corresponding to the transmitting node receiving an encrypted response from the server, and decrypting the encrypted response to obtain a response in plain text; And
The security information sheet corresponding to the transmitting node transmits the response of the plaintext to the microservice corresponding to the transmitting node.
Traffic transmission method of cloud service system to which service mesh is applied.
KR1020180136897A 2018-11-08 2018-11-08 Cloud service system to which service mesh KR102094923B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180136897A KR102094923B1 (en) 2018-11-08 2018-11-08 Cloud service system to which service mesh

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180136897A KR102094923B1 (en) 2018-11-08 2018-11-08 Cloud service system to which service mesh

Publications (1)

Publication Number Publication Date
KR102094923B1 true KR102094923B1 (en) 2020-03-30

Family

ID=70003069

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180136897A KR102094923B1 (en) 2018-11-08 2018-11-08 Cloud service system to which service mesh

Country Status (1)

Country Link
KR (1) KR102094923B1 (en)

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
송평중, ‘5G Network Slicing’, 한국전자통신연구원. 2018년 6월. (http://www.krnet.or.kr/board/data/dprogram/2302/G2-3_%BC%DB%C6%F2%C1%DF.pdf)* *
인터넷 게시물(https://www.nginx.com/blog/what-is-a-service-mesh/), 2018년 4월* *

Similar Documents

Publication Publication Date Title
CN101088245B (en) Performing security functions on a message payload in a network element
US9860154B2 (en) Streaming method and system for processing network metadata
CN101300806B (en) System and method for processing secure transmissions
US11546266B2 (en) Correlating discarded network traffic with network policy events through augmented flow
EP3811561B1 (en) Dynamic data encryption
WO2019241404A1 (en) Secure on-premise to cloud communication
CA3068427A1 (en) System and method for using a distributed ledger gateway
US20060123477A1 (en) Method and apparatus for generating a network topology representation based on inspection of application messages at a network device
US20080267177A1 (en) Method and system for virtualization of packet encryption offload and onload
US11223657B2 (en) One-way coupling device, request apparatus and method for feedback-free transmission of data
KR102160187B1 (en) Apparatus and method deploying firewall on SDN, and network using the same
US20080301225A1 (en) Information processing apparatus and information processing system
EP3424193B1 (en) Transport relay in communications network
TW200935848A (en) Selectively loading security enforcement points with security association information
Coates et al. Collaborative, trust-based security mechanisms for a regional utility intranet
KR102094923B1 (en) Cloud service system to which service mesh
US11595410B2 (en) Fragmented cross-domain solution
CN113037471A (en) Cross-system and cross-department business cooperation information exchange method based on government affair field
CN114039795B (en) Software defined router and data forwarding method based on same
JPWO2006043327A1 (en) Relay device and network system
CN115314323A (en) Information transmission method and system
KR102188069B1 (en) Network adapter and Network control method using the network adapter
CN107547478B (en) Message transmission method, device and system
JP7020769B2 (en) Communication device and communication method
Baumert Secuing IP Storage Networks

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant